GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu

Autor: dr Michał Czarnecki
Udostępnij publikację:
Przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu

Uzasadniony interes jako podstawa przetwarzania

Zgodnie z art. 6 ust. 1 lit. f jedną z autonomicznych podstaw przetwarzania danych osobowych jest niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Przepis ten nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.

Podstawa ta jest więc z jednej strony najbardziej elastyczna, pozwalając przetwarzać dane potrzebne do realizacji celów administratora, z drugiej zmusza do dokonania oceny w zakresie następujących kwestii:

  • czy w danej sytuacji mamy do czynienia z celem wynikającym z prawnie uzasadnionych interesów administratora lub osoby trzeciej;
  • czy przetwarzanie danych osobowych jest konieczne do realizacji takich celów;
  • czy występują interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, które mają nadrzędny charakter wobec tych interesów;
  • czy przetwarzane są dane dzieci.

Prawnie uzasadniony interes

Zgodnie z wytycznymi Grupy Roboczej art 29 z 9 kwietnia 2014 r. (opinia 6/2014), zachowującymi jednak w znacznej części aktualność mimo zmiany stanu prawnego, „interes musi być wystarczająco jasno wyrażony, tak aby pozwolić na przeprowadzenie testu równowagi względem interesów oraz praw podstawowych osoby, której dane dotyczą. (…) Wymaga to aby interes był rzeczywisty i obecny, czymś co odpowiada aktualnym działalnościom lub korzyściom, które są oczekiwane w bardzo bliskiej przyszłości. Innymi słowy, interes, który będzie zbyt ogólny lub spekulatywny, nie będzie wystarczający”. Co istotne, interesy mogą również dotyczyć osoby trzeciej – „charakter interesu może być różny. Niektóre interesy mogą być istotne lub z korzyścią dla całego społeczeństwa”.

Jako najczęściej identyfikowane interesy wskazano m.in:

  • wykorzystanie prawa do wolności wypowiedzi lub informacji, w tym w mediach i sztuce,
  • konwencjonalny marketing bezpośredni oraz inne formy marketingu lub reklamy,
  • niezamówione informacje niehandlowe, włączając w to kampanie wyborcze lub zbieranie środków na cele charytatywne,
  • egzekucja roszczeń prawnych, włączając w to zbieranie długów poprzez procedury pozasądowe,
  • zapobieganie oszustwom, niewłaściwemu korzystaniu z usług lub praniu pieniędzy,
  • monitoring dla celów bezpieczeństwa,
  • systemu informowania o nieprawidłowościach,
  • bezpieczeństwo fizyczne, informatyczne oraz sieciowe,

– interes taki musi być również zgodny nie tylko z regulacjami dotyczącymi ochrony danych osobowych, ale i pozostałymi przepisami prawa.  Jak wskazuje się w literaturze „nie można jednak sformułowania <prawnie>, w odniesieniu do uzasadnienia interesu, utożsamiać z uprawnieniem do przetwarzania danych, które miałoby wynikać z jakiegoś szczególnego przepisu prawa” (P. Litwiński [red.], Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Beck, 2017, s. 305).

W wytycznych brytyjskiego organu nadzorczego ICO, z dnia 22 marca 2018 r., dotyczących uzasadnionego interesu, jako podstawy przetwarzania, podniesiono, że identyfikując takie interesy, rozważyć należy, co chcemy osiągnąć i kto korzysta z przetwarzania. W jaki sposób? Czy przetwarzanie przynosi szersze korzyści publiczne? Jak istotne są takie korzyści? Czy korzystanie z danych byłoby w jakikolwiek sposób nieetyczne lub niezgodne z prawem?

Przesłanka prawnie uzasadnionego interesu, ze względu na swoją elastyczność,  jest szczególnie często wykorzystywana przez przedsiębiorców m.in. w systemach komunikacji wewnętrznej w ramach grupy kapitałowej (na co zwrócono uwagę w motywie 48 RODO), przekazywaniu danych osobowych pracowników do innych podmiotów na potrzeby realizacji usług, czy też wykorzystywaniu danych osobowych pochodzących ze źródeł powszechnie dostępnych (np. dziennikarzy, innych przedsiębiorców).

W motywie 49 RODO podstawę tę wskazano jako często występującą przy przetwarzaniu danych osobowych na potrzeby zapewnienia bezpieczeństwa siec i informacji (cyberbepieczeństwo) oraz związanych z nimi usług lub udostępnianych poprzez te sieci i systemy materiałów.

Dane przetwarzane w celu…

Po ustaleniu prawnie uzasadnionego interesu należy dokonać analizy, czy do jego osiągnięcia konieczne jest:

  1. przetwarzanie danych osobowych,
  2. w konkretnym zakresie.

W literaturze wskazuje się, iż „potrzebę przetwarzania danych osobowych dla realizacji prawnie uzasadnionych interesów przez administratora lub przez stronę trzecią należy badać osobno dla poszczególnych kategorii danych osobowych. Oznacza to, że jeżeli w danej sytuacji niezbędne jest przetwarzanie danych osobowych dla realizacji prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, to nie oznacza to dopuszczalności przetwarzania wszystkich danych osobowych, lecz jedynie tych, które są niezbędne”  (Chomiczewski Witold, uwagi do art. 6. [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, E. Bielak-Jomma (red.), Wolters Kluwer Polska, 2018, s. 395).

Zastosowanie znajdują tu ogólne zasady przetwarzania danych wskazane w art. 5 RODO, w szczególności zasada ograniczenia celu i minimalizacji danych. ICO sugeruje także, by zastanowić się nad tym, czy konkretne operacje przetwarzania faktycznie przyczyniają się do realizacji takiego celu, a także czy jest to rozsądny sposób jego osiągnięcia. Być może istnieje mniej inwazyjny sposób na osiągnięcie tego samego rezultatu bez przetwarzania takich danych (np. zamiast profilować zachowanie klientów, można skorzystać z usług profesjonalnego podmiotu opracowującego strategie marketingowe).

Test równowagi

Ostatnim krokiem będzie wykonanie testu równowagi. Nie stanowi on przy tym prostego zestawienia naszych interesów z interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą, lecz wymaga uwzględnienia szeregu czynników. W szczególności interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, należy rozpatrywać w szerszym kontekście, nie ograniczając się li tylko do kwestii wskazanych w regulacjach poświęconych ochronie danych osobowych.

W motywie 47 RODO wskazano, iż należy przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe – osoba, której dane dotyczą ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (np. kupując przedmioty w sklepie internetowym, wyświetlane są podobne lub powiązane produkty bazujące na profilowaniu naszej aktywności na stronie). W wytycznych ICO uwzględniono także okoliczność, czy w konkretnym procesie wykorzystujemy dane  o szczególnym znaczeniu (tzw. dane wrażliwe, lub inne dane w sposób istotny dotykające sfery naszej prywatności). Istotny jest również sposób komunikacji naszych działań, a także łatwość, z jaką dana osoba może zakończyć przetwarzanie przez nas jej danych.

Kolejną kwestią jest możliwy wpływ przetwarzania na daną osobę.  Nie zawsze będzie się on bowiem wiązał z pozytywnymi dla niej konsekwencjami, np. gdy dochodzimy roszczeń z działalności gospodarczej, zazwyczaj nasz dłużnik nie będzie zadowolony, jednak dokonując wyważania interesów uznamy prawdopodobnie, że nasza wierzytelność będzie przeważać nad jego dyskomfortem związanym z tą sytuacją.

Rozważyć także należy, czy możemy podejrzewać, iż osobom których dane przetwarzamy praktyka ta wyda się uciążliwa i będą się jej sprzeciwiać. Czy może on mieć na nich istotny wpływ, być może negatywny? Jakie środki stosujemy by minimalizować ryzyko naruszenia praw i wolności takich osób? Czy przetwarzanie przyniesie dodatkowe korzyści społeczne?

Dokonując wyważania  należy brać pod uwagę  „nie każdy interes, podstawowe prawo i wolność, lecz tylko o takie, które wymagają ochrony danych osobowych. Oceny spełnienia tego warunku trzeba dokonywać już na gruncie konkretnego stanu faktycznego” (W. Chomiczewski, op. cit., s. 396).

Przetwarzanie danych dzieci

Prawodawca unijny podkreślił, w przywołanym art. 6 ust. 1 lit. f RODO, szczególne znaczenie przetwarzania danych osobowych dzieci. Powinny być one objęte większą ochroną, co wynika z braku wiedzy i doświadczenia życiowego, czyniąc je podatnymi na ewentualne nadużycia ze stronnych nieuczciwych administratorów. Podczas ustalania uzasadnionego interesu, oceny konieczności przetwarzania konkretnych danych, a także wykonywania testu równowagi powinniśmy zatem stosować surowsze kryteria i wyższe standardy ochrony praw takich osób. Nie można się jednak zgodzić z tezą, iż przesłanka uzasadnionego interesu ex definitione nie ma zastosowania do przetwarzania danych osobowych dzieci.

Wpływ na prawa

W konkretnych okolicznościach opisywana podstawa może ograniczać prawa osób fizycznych. W pierwszej kolejności może utrudniać takiej osobie wstrzymanie przetwarzania jej danych. Zgłoszenie sprzeciwu (w większości przypadków), może nie być skuteczne, jeżeli administrator jest w stanie wykazać istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą (art. 22 ust. 1 RODO). Nie występuje tu więc swoisty automatyzm towarzyszący wycofaniu zgody.

Taka podstawa nie zapewnia też prawa do przeniesienia danych do innego administratora. Zgodnie z art. 20 ust. 1 RODO możliwość taka przysługuje danej osobie, jeśli jej dane przetwarzane są na podstawie zgody lub umowy (a same dane są przez nią dostarczone, jak również samo przetwarzanie odbywa się w sposób zautomatyzowany).

Podsumowanie

Wybór prawnie uzasadnionego interesu jako podstawy przetwarzania danych może być często rozwiązaniem prostszym i bardziej elastycznym. Nie wymaga zbierania zgód, przez co m.in. zmniejsza obciążenia związane z obowiązkiem zapewnienia realizacji zasady rozliczalności (wykazania, że konkretna osoba wyraziła zgodę w określonym czasie, w określony sposób). Jednocześnie wymaga wykonania testu równowagi, którego rezultat może być dla administratora niekorzystny, a wynik pozytywny może ulec zmianie na skutek modyfikacji okoliczności faktycznych lub prawnych.

Bibliografia

Wytyczne Grupy Roboczej art 29 z 9 kwietnia 2014 r., Opinia 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE

Lawful basis for processing, Legitimate interests, ICO, 22 March 2018, https://ico.org.uk/

  1. Bielak-Jomma (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2018
  2. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Beck, 2017
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies